### Fast16: Uma Ferramenta de Sabotagem Pré-Stuxnet De acordo com **Symantec** e **Carbon Black**, ambas agora parte da **Broadcom**, o malware *fast16* foi desenvolvido para corromper simulações de compressão de urânio. Essas simulações são cruciais para o projeto de armas nucleares. "O motor de hook do Fast16 tem interesse seletivo em simulações de alto explosivo dentro do **LS-DYNA** e **AUTODYN**", disse a Threat Hunter Team. "O malware verifica a densidade do material que está sendo simulado e só age quando esse valor ultrapassa 30 g/cm³, o limite que o urânio só pode atingir sob a compressão de choque de um dispositivo de implosão." ### Análise Inicial da SentinelOne Análises anteriores da **SentinelOne** descreveram o *fast16* como um framework de sabotagem pioneiro. Seus componentes podem ter sido desenvolvidos já em 2005, precedendo a versão mais antiga conhecida do Stuxnet (também conhecido como Stuxnet 0.5) em dois anos. Evidências descobertas pela SentinelOne incluíam uma referência à string "fast16" em um arquivo de texto. Este arquivo foi vazado em 2017 pelo **The Shadow Brokers**, um grupo anônimo de hackers. O arquivo vazado fazia parte de um enorme conjunto de ferramentas de hacking e exploits supostamente usados pelo **Equation Group**, um ator de ameaça patrocinado pelo estado com suspeitas de ligações com a **Agência de Segurança Nacional (NSA)** dos EUA. ### Funcionalidade do Malware Em sua essência, o malware de sabotagem industrial emprega 101 regras para manipular cálculos matemáticos realizados por programas de engenharia e simulação específicos, prevalentes na época. Embora os binários exatos corrigidos permaneçam incertos, a SentinelOne identificou três candidatos prováveis: LS-DYNA versão 970, Practical Structural Design and Construction Software (**PKPM**) e Modelo Hidrodinâmico (**MOHID**). A análise recente da Symantec confirma que LS-DYNA e AUTODYN foram de fato alvos do *fast16*. O malware foi projetado especificamente para interferir em simulações de detonações de alto explosivo, com o objetivo de sabotar a pesquisa de armas nucleares. "Ambos são aplicativos de software usados para simular problemas do mundo real, como a segurança em colisões de veículos, modelagem de materiais e simulação de explosivos", declararam Symantec e Carbon Black. "Os hooks que o fast16 insere no programa de simulação consistem em três estratégias de ataque. A adulteração só é ativada durante execuções de explosão e detonação em escala total." ### Segmentação Sofisticada As 101 regras de hook são ainda mais categorizadas em 9-10 grupos de hook, cada um visando diferentes compilações do LS-DYNA ou AUTODYN. Isso sugere que os desenvolvedores do malware acompanhavam as atualizações de software e adicionavam suporte para diferentes versões ao longo do tempo, indicando uma operação metódica e sustentada. "Se os grupos de regras de hook foram adicionados sequencialmente conforme necessário, vemos um grupo de hook adicionado para uma versão anterior do software após uma versão mais recente", explicaram os pesquisadores. "Pode-se imaginar que o usuário da simulação reverteu para uma versão mais antiga ao se deparar com a anomalia, antes que essa versão também fosse alvo. Em segundo lugar, os grupos de hook representam até 10 versões diferentes de software de simulação, o que significa que o usuário da simulação atualiza as versões com frequência semi-regular." ### Evasão e Propagação O *Fast16* foi projetado para evitar infectar computadores com produtos de segurança específicos instalados. Ele também se espalha automaticamente para outros endpoints na mesma rede, garantindo que qualquer máquina executando as simulações gere as mesmas saídas adulteradas. Essas descobertas destacam que a sabotagem industrial estratégica usando malware ocorreu já há 20 anos, precedendo o uso do Stuxnet para danificar centrífugas de enriquecimento de urânio na planta nuclear de Natanz, no Irã, por meio de código malicioso injetado em controladores lógicos programáveis da **Siemens**. Falando com a jornalista de cibersegurança **Kim Zetter**, **Vikram Thakur**, diretor técnico da Symantec, comentou que a expertise necessária para projetar tal malware em 2005 era "impressionante". Permanece desconhecido se uma versão moderna do *fast16* existe em circulação. "Esse grau de conhecimento de domínio, como entender quais formas de EOS [Equation of State] importam, quais convenções de chamada são produzidas por quais compiladores e quais classes de simulação acionarão ou não o portão, é incomum em qualquer era e era muito incomum em 2005", disseram Symantec e Carbon Black. "O framework pertence à mesma linhagem conceitual do Stuxnet, na qual o malware foi adaptado não apenas para o produto de um fornecedor, mas para um processo físico específico sendo simulado ou controlado por esse produto."